Область проектирования: безопасность
Эта область проектирования создает основу для обеспечения безопасности в среде Azure, гибридной и многооблачной средах. Вы можете улучшить эту основу позже с помощью рекомендаций по безопасности, описанных в методологии Secure Cloud Adoption Framework.
Проверка области проектирования
Вовлеченные роли или функции: эта область проектирования связана с группой безопасности облака, а особенно с архитекторами безопасности в этой группе. Облачная платформа и облачный центр инноваций должны проанализировать решения по сети и идентификации. Для определения и реализации технических требований, которые будут получены в этом упражнении, могут потребоваться объединенные роли. Для более сложных систем безопасности также может потребоваться поддержка группы управления облаком.
Область действия: целью этого упражнения является анализ требований к безопасности и их единообразное внедрение во всех рабочих нагрузках на облачной платформе. В основном это упражнение посвящено средствам обеспечения безопасности и управлению доступом. Эта область включает нулевое доверие и расширенную сетевую безопасность.
Вне области: это упражнение посвящено основам современного центра операций безопасности в облаке. Для упрощения обсуждений некоторые дисциплины защищенной методологии КАФ оставлены за рамками этого упражнения. Операции безопасности, защита активов и безопасность инноваций будут основываться на развертывании целевой зоны в Azure. Но они выходят за рамки этого обсуждения по области проектирования.
Обзор зоны проектирования
Безопасность является важным приоритетом для всех клиентов в любой среде. При проектировании и реализации целевой зоны Azure безопасность должна учитываться на всех этапах процесса.
В области разработки системы безопасности основное внимание уделяется вопросам и рекомендациям по принятию решений о целевой зоне. Методология Secure в Cloud Adoption Framework также предоставляет дополнительные подробные рекомендации по целостным процессам и средствам безопасности.
Новая облачная среда (greenfield): чтобы начать путешествие в облако с небольшим набором подписок, см. статью "Создание начальных подписок Azure". Кроме того, рекомендуется использовать шаблоны развертывания Bicep в создании целевых зон Azure. Дополнительные сведения см. в статье "Целевые зоны Azure Bicep" — поток развертывания.
Существующая облачная среда (brownfield): рассмотрите возможность использования следующих служб удостоверений и доступа Microsoft Entra, если вы заинтересованы в применении принципов из области проектирования безопасности к существующим средам Azure:
- Воспользуйтесь лучшими рекомендациями по безопасности Azure в Майкрософт. В этом руководстве приведены проверенные в области рекомендации архитекторов облачных решений Майкрософт (CSAs), а также партнеров Майкрософт.
- Разверните Microsoft Entra Подключение облачную синхронизацию, чтобы предоставить локальным пользователям службы домен Active Directory (AD DS) безопасный единый вход (SSO) в приложения, поддерживаемые идентификатором Microsoft Entra. Дополнительным преимуществом настройки гибридного удостоверения является применение многофакторной проверки подлинности (MFA) Microsoft Entra и Microsoft Entra Password Protection для дальнейшей защиты этих удостоверений.
- Рассмотрим условный доступ Microsoft Entra, чтобы обеспечить безопасную проверку подлинности в облачных приложениях и ресурсах Azure.
- Реализуйте Microsoft Entra управление привилегированными пользователями, чтобы обеспечить минимальный доступ и глубокие отчеты во всей среде Azure. Teams должны начать повторяющиеся проверки доступа, чтобы обеспечить правильные люди и принципы обслуживания имеют текущие и правильные уровни авторизации.
- Используйте рекомендации, оповещения и возможности исправления Microsoft Defender для облака. Ваша команда безопасности также может интегрировать Microsoft Defender для облака в Microsoft Sentinel, если они нуждаются в более надежном, централизованно управляемом гибридном и многооблачном решении siEM/Security Information Event Management (SIEM)/Security Orchestration and Response (SOAR).
Целевой зоны Azure Bicep — репозиторий потока развертывания содержит ряд шаблонов развертывания Bicep, которые могут ускорить развертывание целевой зоны Azure в гринфилде и браунфилде. Эти шаблоны уже интегрированы с рекомендациями по безопасности корпорации Майкрософт.
Дополнительные сведения о работе в облачных средах браунфилда см . в рекомендациях по среде Браунфилда.
Управление безопасностью в облаке Майкрософт
Тест безопасности microsoft cloud security включает рекомендации по обеспечению безопасности с высоким уровнем влияния, которые помогут защитить большинство служб, используемых в Azure. Эти рекомендации можно рассматривать как общие или организационные, так как они применимы к большинству служб Azure. Затем для каждой службы Azure настраиваются рекомендации по эталонным тестам безопасности Microsoft Cloud Security. Эти настраиваемые рекомендации содержатся в статьях с рекомендациями по службам.
В документации по microsoft cloud security benchmark указываются элементы управления безопасностью и рекомендации по службам.
- Элементы управления безопасностью: рекомендации по эталонным тестам безопасности Microsoft cloud security классифицируются по элементам управления безопасностью. Средства управления безопасностью определяют независимые от поставщика высокоуровневые требования к безопасности, такие как безопасность сети и защита данных. Каждый элемент управления безопасностью дает набор рекомендаций по безопасности с инструкции по их внедрению.
- Рекомендации по службам. При наличии рекомендации по тестированию для служб Azure будут включать рекомендации microsoft cloud security benchmark, которые специально предназначены для этой службы.
Аттестация Azure
Аттестация Azure — это средство, которое помогает обеспечить безопасность и целостность платформы и двоичных файлов, которые выполняются внутри него. Это особенно полезно для предприятий, требующих высокомасштабируемых вычислительных ресурсов и бескомпромиссного доверия с возможностью удаленной аттестации.
Рекомендации по проектированию безопасности
Организация должна иметь возможность видеть, что происходит в ее облачных ресурсах. Мониторинг безопасности и ведение журнала аудита для служб на платформе Azure — это ключевой компонент масштабируемой платформы.
Рекомендации по проектированию операций безопасности
| Область | Контекст |
|---|---|
| Оповещения безопасности | Каким командам требуются уведомления об оповещениях системы безопасности? Существуют ли группы служб, из которых оповещения нужно направлять разным командам? Бизнес-требования для мониторинга и оповещений в реальном времени. — Сведения о безопасности и интеграция управления событиями с Microsoft Defender для облака и Microsoft Sentinel. |
| Журналы безопасности | — Сроки хранения для данных аудита. Отчеты Microsoft Entra ID P1 или P2 имеют 30-дневный срок хранения. — Долгосрочное архивирование журналов, таких как журналы действий Azure, журналы виртуальных машин и журналы PaaS (платформа как услуга). |
| Средства контроля безопасности | — Настройка базовой конфигурации безопасности с помощью политики гостевой виртуальной машины Azure. — Подумайте о том, как элементы управления безопасностью будут согласовываться с защитными системами. |
| Управление уязвимостями | — Аварийное исправление для критических уязвимостей. — Применение исправлений для виртуальных машин, которые могут быть отключены в течение продолжительного периода времени. — Правила оценки уязвимостей виртуальных машин. |
| Общая ответственность | — Где происходит передача ответственности между командами? Эти обязанности необходимо учитывать при отслеживании событий безопасности или реагировании на них. — Изучите рекомендации по методикам безопасности для операций безопасности. |
| Шифрование и ключи | — Кому требуется доступ к ключам в среде? — Кто будет отвечать за управление ключами? — Узнайте больше о шифровании и ключах. |
| Аттестация | — Будет ли использоваться доверенный запуск для виртуальных машин и требуется аттестация целостности всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов)? — Вы хотите воспользоваться преимуществами шифрования конфиденциальных дисков для конфиденциальных виртуальных машин? — Требуются ли рабочие нагрузки аттестации, которую они выполняют в доверенной среде? |
Рекомендации по проектированию операций безопасности
Используйте возможности отчетов идентификатора Microsoft Entra для создания отчетов аудита управления доступом.
Экспортируйте журналы действий Azure в журналы Azure Monitor для долгосрочного хранения данных. Экспортируйте данные в службу хранилища Azure, если потребуется долгосрочное хранение (свыше двух лет).
Включите Microsoft Defender для облака ценовой категории "Стандартный" для всех подписок и используйте Политику Azure для обеспечения соответствия.
Отслеживайте сдвиг для исправлений базовой операционной системы с помощью журналов Azure Monitor и Microsoft Defender для облака.
Используйте политики Azure для автоматического развертывания конфигураций программного обеспечения с помощью расширений виртуальных машин и принудительного применения подходящей базовой конфигурации для виртуальной машины.
Отслеживайте сдвиг конфигураций безопасности для виртуальных машин с помощью Политики Azure.
Подключите конфигурации ресурсов по умолчанию к централизованной рабочей области Log Analytics в Azure Monitor.
Используйте решение на основе Сетки событий Azure для ориентированных на журналы оповещений в режиме реального времени.
Используйте Аттестация Azure для аттестации:
- Целостность всей цепочки загрузки виртуальной машины. Дополнительные сведения см. в обзоре мониторинга целостности загрузки.
- Безопасный выпуск ключей шифрования конфиденциальных дисков для конфиденциальной виртуальной машины. Дополнительные сведения см. в разделе "Шифрование дисков конфиденциальной ОС".
- Различные типы доверенных сред выполнения рабочей нагрузки. Дополнительные сведения см. в разделе "Варианты использования".
Рекомендации по проектированию управления доступом
Современные границы безопасности более сложны, чем в традиционном центре обработки данных. Теперь ресурсы не ограничены в четырех стенах. Поэтому теперь для управления доступом недостаточно держать пользователей в пределах защищенной сети. В облаке периметр состоит из двух частей: элементов управления безопасностью сети и управления доступом нулевого доверия.
Дополнительные параметры безопасности
| Область | Контекст |
|---|---|
| Планирование входящего и исходящего подключения к Интернету | Описывает рекомендуемые модели подключения для входящего и исходящего подключения к общедоступному Интернету. |
| Планирование сегментации сети в целевой зоне | Изучает основные рекомендации по обеспечению высоконадежной сегментации внутренних сетей в целевой зоне. Эти рекомендации управляют реализацией сети нулевого доверия.. |
| Определение требований к шифрованию сети | Рассматривает основные рекомендации по шифрованию сети между локальной средой и Azure, а также между регионами Azure. |
| Планирование проверки трафика | Рассматривает ключевые моменты и рекомендуемые подходы к зеркальному отображению или перехвату трафика в виртуальной сети Azure. |
Решение "Никому не доверяй"
Для доступа к нулю доверия с удостоверениями следует учитывать следующее:
- Какие команды или лица нуждаются в доступе к службам в целевой зоне? Какие роли они выполняют?
- Кто должен авторизовать запросы на доступ?
- Кто должен получать уведомления при активации привилегированных ролей?
- Кто должен иметь доступ к журналу аудита?
Дополнительные сведения см. в управление привилегированными пользователями Microsoft Entra.
Реализация нулевого доверия может выйти за рамки простого управления удостоверениями и доступом. Следует учитывать, необходимо ли организации реализовать методики нулевого доверия в нескольких основных аспектах, таких как инфраструктура, данные и сети. Дополнительные сведения см. в разделе "Включение методик нулевого доверия" в целевой зоне
Рекомендации по проектированию управления доступом
В контексте базовых требований произведите совместное изучение каждой необходимой службы. Если вы хотите использовать собственные ключи, они могут поддерживаться не во всех службах. Реализуйте соответствующие меры по устранению рисков, чтобы несогласованность не ухудшала результаты. Выберите соответствующие пары регионов и регионы аварийного восстановления с минимальной задержкой.
Разработайте план безопасности для списка разрешенных служб, который описывает настройки безопасности, мониторинг и оповещения. Затем создайте план по их интеграции с существующими системами.
Определите план реагирования на инциденты для служб Azure, прежде чем перемещать их в рабочую среду.
Согласуйте требования к безопасности с планами для платформы Azure, чтобы поддерживать актуальность с помощью новых средств управления безопасностью.
Реализуйте подход с к предоставлению доступа к платформе Azure на принципах нулевого доверия, если это уместно.
Безопасность в ускорителе начальной зоны Azure
Безопасность является основой для ускорителя начальной зоны Azure. В рамках реализации развертываются многие средства и элементы управления, которые помогут организациям быстро достичь базового уровня безопасности.
Например, в нее включается следующее.
Инструменты:
- Microsoft Defender для облака ценовой категории "Стандартный" или "Бесплатный"
- Microsoft Sentinel
- Защита сети от атак DDoS Azure (необязательно)
- Брандмауэр Azure
- Web Application Firewall (WAF)
- Управление привилегированными пользователями (PIM)
Политики для подключенных к Интернету и корпоративной сети целевых зон:
- Принудительный безопасный доступ, например по протоколу HTTPS, к учетным записям хранения
- Принудительный аудит для Базы данных SQL Azure
- Принудительное шифрование для Базы данных SQL Azure
- Запрет IP-переадресации
- Запрет входящих подключений по протоколу удаленного рабочего стола из Интернета
- Обязательная связь подсетей с группами безопасности сети
Следующие шаги
Узнайте, как защитить привилегированный доступ для гибридных и облачных развертываний в идентификаторе Microsoft Entra.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по